Dateifilterung

 

Gilt für: Forefront Security for Exchange Server

Letzte Änderung des Themas: 2008-06-03

Mit dem Dateifilterfeature von Forefront Security für Exchange Server können Sie in einer E-Mail-Nachricht nach Anlagen mit einem bestimmten Dateinamen, Dateityp bzw. von bestimmter Größe suchen. Wird eine Übereinstimmung gefunden, kann der Dateifilter für eine auf der Anlage auszuführende Aktion konfiguriert werden, um z. B. die erkannte Datei zu löschen, unter Quarantäne zu stellen oder zu melden bzw. um eine Benachrichtigung zu senden. Der Dateifilter bietet so eine flexible Möglichkeit, um Dateianlagen in E-Mail-Nachrichten und anderen Outlook-Elementen zu erkennen, wie z. B. Aufgaben und Terminpläne (beispielsweise Besprechungen und Termine).

Dateifilter können nach Typen, Erweiterungen oder Namen konfiguriert werden. Weitere Informationen finden Sie unter Filtern nach Dateityp, Filtern nach Erweiterung und Filtern nach Name.

So erstellen und konfigurieren Sie einen Dateifilter
  1. Klicken Sie im Navigationsbereich auf FILTERN. Klicken Sie dann auf das Symbol Datei. Der Bereich Filtern nach Dateien wird angezeigt.

  2. Wählen Sie im oberen Arbeitsbereich den Scanauftrag aus, für den Sie den Dateifilter erstellen möchten.

  3. Wenn nach Dateien mit einem bestimmten Dateinamen gesucht werden soll, fügen Sie den Dateinamen im Abschnitt Dateinamen des Arbeitsbereichs hinzu. Klicken Sie auf Hinzufügen, und geben Sie den Namen der zu suchenden Datei ein. (Es stehen auch Schaltflächen zum Bearbeiten und Löschen vorhandener Einträge zur Verfügung.) Legen Sie mithilfe des Abwärts- und Aufwärtspfeils (auf derselben Zeile wie Dateinamen) die Reihenfolge fest, in der ein ausgewählter Filter angewendet werden soll.

    Optional können Sie den Dateifilter so konfigurieren, dass die Dateien anhand ihrer Größe gefiltert werden. Geben Sie einen Vergleichsoperator (=, >, <, >=, <=) und eine Dateigröße (in KB, MB oder GB) an, um Dateien nach der Größe zu erkennen. Diese Operatoren werden unmittelbar hinter dem Dateinamen ohne Leerstelle zwischen dem Dateinamen und dem Operator bzw. dem Operator und der Dateigröße eingefügt. Die Dateigrößen müssen mithilfe der englischen Schlüsselwörter „KB“ (für Kilobytes), „MB“ (für Megabytes) und „GB“ (für Gigabytes) eingegeben werden. Die Einstellung Max. Größe der Containerdatei unter Allgemeine Optionen gibt die maximale Containerdateigröße (in Byte) an, bei der FSE versucht, eine infizierte Datei nach der Entdeckung zu bereinigen oder zu reparieren.

    Beispiele:

    *.bmp>= 1,2MB alle BMP-Dateien, die mindestens 1,2 Megabyte groß sind

    *.com>150KB alle COM-Dateien, die größer als 150 Kilobyte sind

    *>5GB alle Dateien, die größer als 5 Gigabyte sind

  4. Legen Sie die Liste der Dateitypen fest, die dem ausgewählten Dateinamen zugeordnet werden können. Sie können einen oder mehrere Dateitypen aus der Liste auswählen, oder die Option Alle Typen unter der Liste auswählen. Wenn der Dateityp, den Sie dem ausgewählten Dateinamen zuordnen möchten, nicht in der Liste vorhanden ist, wählen Sie Alle Typen aus. (Eine Beschreibung der im Auswahlfeld aufgeführten Dateitypen finden Sie unter Liste der Dateitypen.)

    Mit Alle Typen wird Forefront Security für Exchange Server so konfiguriert, dass nur nach dem Dateinamen und der Dateierweiterung gefiltert wird. Wenn Sie Alle Typen auswählen, muss der ausgewählte Dateiname unabhängig vom Dateityp erkannt werden. Dadurch wird verhindert, dass Benutzer den Filter einfach durch Ändern der Dateierweiterung umgehen können.

    Wenn Sie den gesuchten Dateityp kennen, kann Forefront Security für Exchange Server effizienter arbeiten, wenn Sie statt Alle Typen den entsprechenden Dateityp auswählen. Wenn Sie z. B. alle EXE-Dateien herausfiltern möchten, erstellen Sie den Filter *, und legen Sie als Dateityp "EXE" fest.

  5. Stellen Sie sicher, dass der Dateifilter auf Aktiviert gesetzt ist. Die Option ist standardmäßig aktiviert.

  6. Geben Sie an, welche Aktion bei einer Übereinstimmung mit dem Filter ausgeführt werden soll.

  7. Legen Sie mithilfe der Option Benachrichtigungen senden fest, ob Sie benachrichtigt werden möchten, wenn der Filter eine Datei mit dem ausgewählten Dateinamen findet. Dies hat keinen Einfluss auf das Vorfallprotokoll. Darüber hinaus müssen Sie die Benachrichtigungen konfigurieren (siehe E-Mail-Benachrichtigungen). Die Option ist standardmäßig deaktiviert.

  8. Legen Sie mithilfe der Option Quarantänedateien fest, ob Dateien mit dem ausgewählten Dateinamen unter Quarantäne gestellt werden sollen. Die Option ist standardmäßig aktiviert. Wenn die Quarantäne aktiviert ist, werden gelöschte Anlagen und entfernte Nachrichten gespeichert, sodass sie wiederhergestellt werden können. Entfernte wurminfizierte Nachrichten können jedoch nicht wiederhergestellt werden.

  9. Optional können Sie unter Text für das Löschen auch einen Text festlegen, der anstelle des Inhalts von Dateien angezeigt wird, die gelöscht wurden, weil sie als infiziert eingestuft worden waren. Der Standardtext für das Löschen informiert Sie darüber, dass eine infizierte Datei entfernt wurde. Dazu werden der Name der Datei und der Name des Filters angegeben. Wenn Sie eine eigene Nachricht erstellen möchten, klicken Sie auf Text für das Löschen.

    HinweisHinweis:
    Forefront Security für Exchange Server enthält Schlüsselwörter, die im Feld für Text für das Löschen verwendet werden können, um Informationen aus der Nachricht zu erhalten, in der die Infektion gefunden wurde. Weitere Informationen zu Schlüsselwörtern finden Sie unter Schlüsselwortersetzungsmakros.
  10. Klicken Sie auf Speichern, um den Filter zu speichern.

Wenn Sie bestimmte Dateitypen herausfiltern möchten, können Sie den Filter * erstellen und dann mit der Auswahl Dateitypen den genauen Dateityp festlegen, nach dem Sie filtern möchten.

Beispiel: Erstellen Sie den Filter *, und wählen Sie unter Dateitypen die Option MP3 aus. Damit wird sichergestellt, dass alle MP3-Dateien unabhängig vom Namen oder der Erweiterung der Datei gefiltert werden.

Wenn Sie einen generischen Filter * erstellen und ihn anschließend einem bestimmten Dateityp (z. B. EXE) zuordnen, hat dies den Vorteil, dass Benutzer den Filter nicht einfach durch Ändern der Dateierweiterung umgehen können.

HinweisHinweis:
Wenn Sie nach Dateien aus Office 2003 bzw. älteren Microsoft Excel®-Dateien filtern möchten, müssen Sie im Feld Dateiname die Bezeichnung *.xls oder * eingeben und dann in der Liste Dateityp die Optionen WINEXCEL und DOCFILE auswählen. Excel 1.x-Dateien sind Dateien vom Typ WINEXCEL, neuere Excel-Versionen haben jedoch den Dateityp DOCFILE.
Für Office 2007-Dokumente (Word, Excel und PowerPoint) sollten Sie im Feld Dateiname die richtige Dateierweiterung eingeben und anschließend in der Liste Dateitypen die Option OPENXML auswählen.

Wenn Sie nach Dateien mit einer bestimmten Erweiterung filtern möchten, können Sie einen generischen Filter für die Erweiterung erstellen und dann unter Dateitypen die Option Alle Typen auswählen. Beim Filtervergleich wird die Groß-/Kleinschreibung nicht beachtet.

Beispiel: Erstellen Sie den Filter *.exe*, und wählen Sie dann unter Dateitypen die Option Alle Typen aus. Dadurch wird sichergestellt, dass alle Dateien mit der EXE-Erweiterung gefiltert werden.

WichtigWichtig:
Wenn Sie generische Dateifilter erstellen, um alle Dateien eines bestimmten Dateityps herauszufiltern (z. B. EXE-Dateien), sollten Sie den Filter in folgendem Format schreiben: *.exe*. Das zweite Sternchen (*) sorgt dafür, dass auch Dateien, bei denen zusätzliche Zeichen hinter der Dateierweiterung angehängt wurden, vom Filter erkannt werden.
HinweisHinweis:
Wenn Sie unter Dateitypen die Option Alle Typen ausgewählt haben, sollten Sie den generischen Filter * nicht verwenden, Diese Filterkonfiguration könnte zu sich wiederholenden Erkennungen führen.

Wenn Sie alle Dateien mit einem bestimmten Namen herausfiltern möchten, können Sie einen Filter für den Dateinamen erstellen und dann unter Dateitypen die Option Alle Typen auswählen. Beim Filtervergleich wird die Groß-/Kleinschreibung nicht beachtet.

Beispiel: Wenn ein Virus eine angehängte Datei mit dem Namen payload.doc verwendet, können Sie den Filter payload.doc erstellen und im Auswahlfeld Dateitypen die Option Alle Typen auswählen. Dies stellt sicher, dass alle Dateien mit dem Namen payload.doc unabhängig vom Dateityp vom Filter gefiltert werden.

Das Erkennen von Dateianlagen nach einem bestimmten Namen empfiehlt sich auch, wenn bei einem neuen Virus die Virenscanner noch nicht aktualisiert wurden, Sie jedoch den Namen der Trägerdatei für den Virus bereits kennen. Ein gutes Beispiel hierfür war der Melissa-Wurm. Er befand sich in einer Datei namens List.doc und wäre mithilfe von Forefront Security für Exchange Server über einen Dateifilter entdeckt worden, bevor Virenscanner den Virus erkennen konnten.

Wählen Sie die Aktion aus, die von Forefront Security für Exchange Server bei Übereinstimmung mit einem Dateifilter ausgeführt werden soll. Die Standardeinstellung ist Löschen: Inhalt entfernen.

HinweisHinweis:
Die Aktion muss für jeden von Ihnen konfigurierten Dateifilter festgelegt werden. Die Einstellung unter Aktion ist nicht global.

 

Überspringen: nur erkennen

Zeichnet die Anzahl der Nachrichten auf, die den Filterkriterien entsprechen, ermöglicht jedoch eine normale Weiterleitung der Nachrichten. Wurde jedoch Beschädigte komprimierte Dateien löschen, Beschädigte Uuencode-Dateien löschen oder Verschlüsselte komprimierte Dateien löschen unter Allgemeine Optionen ausgewählt, wird das Element bei Übereinstimmung mit einer dieser Bedingungen gelöscht.

Löschen: Inhalt entfernen

Löscht die Dateianlage. Die erkannte Dateianlage wird aus der Nachricht entfernt, und stattdessen wird der Text für das Löschen eingefügt.

Entfernen: Nachricht eliminieren

Löscht die Nachricht aus dem E-Mail-System. Wenn Sie diese Option auswählen, wird eine Warnung angezeigt, die Ihnen mitteilt, dass es eine Filterentsprechung gibt. Die Nachricht wird geleert und kann nicht wiederhergestellt werden. Klicken Sie auf Ja, um den Vorgang fortzusetzen.

HinweisHinweis:
Wenn das Kästchen Quarantänedateien aktiviert ist, werden entfernte Dateien jedoch unter Quarantäne gestellt und können später aus der Quarantänedatenbank wiederhergestellt werden.

 

Identifizieren: Nachricht kennzeichnen

Die Betreffzeile oder der Nachrichtenheader der erkannten Nachrichten kann mit einem benutzerdefinierbaren Wort oder Ausdruck gekennzeichnet werden, sodass diese später für die Verteilung in Ordner durch den Benutzerposteingang oder für andere Zwecke von Forefront Server Security Administrator identifiziert werden können. Diese Kennzeichnung kann angepasst werden, indem Sie im Arbeitsbereich Einstellungen für Scan-Auftrag auf die Schaltfläche Kennzeichnungstext klicken und den Text ändern. Dieselbe Kennzeichnung wird jedoch für alle Filter verwendet, die diesem bestimmten Scanauftrag zugeordnet sind. Diese Aktion ist nur für den Transportscanauftrag verfügbar. Weitere Informationen zum Kennzeichnungstext finden Sie unter "Konfigurieren des Transportscanauftrags" in Transportscanauftrag.

Nachdem Sie einen Dateifilter erstellt haben, kann dieser bearbeitet werden.

So bearbeiten Sie einen Dateifilter
  1. Klicken Sie im Navigationsbereich auf FILTERN. Klicken Sie dann auf das Symbol Datei. Der Bereich Filtern nach Dateien wird angezeigt.

  2. Wählen Sie im oberen Arbeitsbereich den Scanauftrag aus, für den Sie den Dateifilter bearbeiten möchten.

  3. Nehmen Sie die erforderlichen Änderungen an den entsprechenden Feldern vor. Die Änderungen gelten für den ausgewählten Scanauftrag.

  4. Klicken Sie auf Speichern, um Ihre Filteränderungen zu speichern.

    Beim Ändern der Konfiguration werden die Schaltflächen Speichern und Abbrechen aktiviert. Wenn Sie den ausgewählten Scanauftrag ändern und danach zu einem anderen Scanauftrag oder einem anderen Menüeintragssymbol wechseln, ohne die Änderung vorher zu speichern, werden Sie gefragt, ob Sie die Änderung speichern möchten.

Verwenden Sie Platzhalterzeichen, wenn Ihr Filter nicht mit einem speziellen Dateinamen übereinstimmen soll, sondern mit Mustern im Dateinamen. Sie können jedes der folgenden Zeichen verwenden, um Ihre Filter zu verfeinern:

 

*

Dient als Platzhalter für eine beliebige Anzahl von Zeichen in einem Dateinamen. Sie können mehrere Sternchen verwenden. Im Folgenden finden Sie einige Beispiele für die Verwendung:

Einfach: Mit jedem dieser Muster mit einem Platzhalterzeichen könnten Sie die Datei veryevil.doc finden:

veryevil.*, very*.doc, very*, *il.doc.

Mehrfach: Mit jedem dieser Muster mit mehreren Platzhalterzeichen könnten Sie eicar.com finden: e*c*r*om, ei*.*, *car.*.

HinweisHinweis:
Verwenden Sie mehrere Platzhalter, um Dateianlagen mit mehreren Erweiterungen zu erkennen. Beispiel: love*.*.*

 

?

Dient als Platzhalter für genau ein beliebiges Zeichen in einem Namen, in dem sich ein einzelnes Zeichen ändern kann. Beispiel:

virus?.exe würde virusa.exe, virus1.exe oder virus$.exe finden. Virus.exe würde mit diesem Filter jedoch nicht erkannt werden.

[Menge]

Eine Liste von Zeichen und Bereichen, die in eckige Klammern eingeschlossen ist [abcdef]. Ein einzelnes Zeichen in der angegebenen Menge stimmt überein. Beispiel:

klez[a-h].exe würde kleza.exe bis klezh.exe finden.

[^Menge]

Dient dazu, Zeichen auszuschließen, von denen Sie wissen, dass sie im Dateinamen nicht verwendet werden. Beispiel:

klez[^m-z].exe würde klezm.exe bis klezz.exe nicht finden.

[Bereich]

Dient dazu, mehrere mögliche Werte in einer Menge anzugeben. Er wird durch ein Anfangszeichen, einen Bindestrich (-) und ein Endzeichen angegeben. Beispiel:

klez[ad-gp].exe entspricht kleza.exe, klezd.exe, klezf.exe und klezp.exe, jedoch nicht klezb.exe oder klezr.exe.

\Zeichen

Gibt an, dass Sonderzeichen zeichengetreu verwendet werden. (Diese Zeichen sind: * ? [ ] - ^ < >.) Der umgekehrte Schrägstrich ist ein Escapezeichen und gibt an, dass ein reserviertes Steuerzeichen in seiner eigentlichen Bedeutung, also als Textzeichen zu verstehen ist. Beispiel:

Wenn Sie *hello* eingeben, würden Sie normalerweise eine Übereinstimmung mit hello an einer beliebigen Stelle im Dateinamen erwarten. Wenn Sie *\*hello\** eingeben, finden Sie eine Übereinstimmung mit *hello*. Wenn Sie *\*hello\?\** eingeben, finden Sie eine Übereinstimmung mit *hello?*.

HinweisHinweis:
Sie müssen vor jedem Sonderzeichen ein \ verwenden.

Wenn Sie den Dateifilter im Zusammenhang mit einem Transportscanauftrag verwenden, können Sie einen Filter so konfigurieren, dass nur eingehende oder nur ausgehende Nachrichten überprüft werden. Dazu fügen Sie dem Dateinamen bei der Eingabe im Arbeitsbereich Dateinamen das Präfix <in> oder <out> hinzu.

(Weitere Informationen zur Bestimmung eingehender, ausgehender und interner Nachrichten finden Sie unter Transportscanauftrag.)

HinweisHinweis:
Fügen Sie zwischen dem Präfix und dem Dateinamen kein Leerzeichen ein.
HinweisHinweis:
Die Präfixe <in> (für eingehende Nachrichten) und <out> (für ausgehende Nachrichten) müssen in englischer Sprache eingegeben werden.

Wenn Sie dem Dateinamen das Präfix <in> hinzufügen, wird von Forefront Security für Exchange Server dieser Filter nur auf eingehende Nachrichten angewendet.

<in>Dateiname

Wenn Sie dem Dateinamen das Präfix <out> hinzufügen, wird von Forefront Security für Exchange Server dieser Filter nur auf ausgehende Nachrichten angewendet.

<out>Dateiname

Wird kein Präfix an den Dateinamen angehängt, wird der Filter ungeachtet der Richtung auf alle Nachrichten angewendet.

Containerdateien können allgemein als komplexe Dateien beschrieben werden, die in einzelne Bestandteile unterteilt werden können. Mithilfe von Forefront Security für Exchange Server können die folgenden Containerdateien auf Filterübereinstimmungen gescannt werden:

  • PKZip (ZIP)

  • GNU Zip (GZIP)

  • Selbstextrahierende ZIP-Archive

  • ZIP-Dateien (ZIP)

  • Java-Archive (JAR)

  • TNEF (Winmail.dat)

  • Strukturierter Speicher (beispielsweise DOC, XLS oder PPT)

  • Open XML (beispielsweise DOCX, XLSX oder PPTX)

  • MIME (EML)

  • SMIME (EML)

  • UUENCODE (UUE)

  • Unix-Bandarchive (TAR)

  • RAR-Archive (RAR)

  • MACBinary (BIN)

Mit Forefront Security für Exchange Server können sämtliche Bestandteile der Containerdatei gescannt werden und anschließend die Datei nach Bedarf neu verpackt werden. Wenn Sie z. B. einen Dateifilter für das Löschen aller EXE-Dateien konfigurieren, werden EXE-Dateien in Containerdateien von Forefront Security für Exchange Server gelöscht (und durch den Text für das Löschen ersetzt). Alle übrigen Dateien im Container werden jedoch beibehalten.

HinweisHinweis:
Mit Forefront Security für Exchange Server können keine kennwortgeschützten oder verschlüsselten Dateien gescannt werden. Diese Dateien werden zwar von FSS nicht entschlüsselt, sie werden jedoch immer in ihrer verschlüsselten Form an die Virenscanner übergeben.

Geben Sie den Namen der ZIP-Datei in der Filterliste an, und legen Sie als Aktion Überspringen fest, um den Inhalt einer ZIP-Datei (Containerdatei) nicht auf Filterübereinstimmungen zu prüfen. Die Rangfolge des Filters in der Liste ist dabei nicht von Bedeutung. Wenn der Name der ZIP-Datei sich in der Dateifilterliste befindet und als Aktion dafür Überspringen festgelegt ist, wird ihr Inhalt nicht von den Dateifiltern gescannt. Die Datei wird jedoch auf Viren geprüft. Wenn Sie alle ZIP-Dateien überspringen möchten, erstellen Sie den Filter *.zip, und legen Sie als Aktion dafür Überspringen fest.

HinweisHinweis:
Diese Funktionalität gilt standardmäßig nur für ZIP- und JAR-Dateien. Wenn sie auch für andere Archivtypen (TAR, GZIP, RAR, Macintosh, SMIME und selbstextrahierende ZIP-Archive) gelten soll, können Sie die folgenden DWORD-Registrierungswerte festlegen:
Echtzeitscanauftrag SkipFileFilterWithinCompressedRealtime
Manueller Scanauftrag SkipFileFilterWithinCompressedManual
Transportscanauftrag   SkipFileFilterWithinCompressedInternet
Informationen zum Speicherort dieser Registrierungsschlüssel finden Sie unter Registrierungsschlüssel. Nach dem Erstellen jedes Registrierungswerts müssen Sie dafür den Wert 1 festlegen, um das Filtern nach Dateien in den angegebenen Archivtypen zu aktivieren.
HinweisHinweis:
OPENXML-Dateien (z. B. Office 2007-Dokumente) sind ZIP-Containerdateien, die jedoch nicht den Einstellungen für ZIP-Container unterliegen.

Mit Dateifiltern können Sie einige Dateitypen blockieren und andere Dateitypen zulassen. In diesem Beispiel werden Office-Dateien zugelassen, die in der Regel sicherer sind als andere Dateiarten. Zu diesem Zweck werden zwei Dateifilter benötigt.

HinweisHinweis:
Dateifilter 1 muss unbedingt vor Dateifilter 2 erstellt werden, da die Filter in der Rangfolge von oben nach unten angewendet werden.

Erstellen Sie zunächst einen Dateifilter, mit dem Office-Dateien durchgelassen werden. In diesem Beispiel wird er als Dateifilter 1 bezeichnet.

So erstellen Sie Dateifilter 1
  1. Klicken Sie im Navigationsbereich auf FILTERN. Klicken Sie dann auf das Symbol Datei. Der Arbeitsbereich Dateifilterung wird angezeigt.

  2. Erstellen Sie mit den folgenden Schritten einen neuen Dateifilter:

    1. Klicken Sie auf Hinzufügen.

    2. Geben Sie <in>* als Dateinamen ein, und drücken Sie dann die EINGABETASTE.

    3. Deaktivieren Sie Alle Typen im Bereich Dateitypen.

    4. Klicken Sie auf Ja, um den Vorgang zu bestätigen.

    5. Wählen Sie die Dateitypen DOC, OPENXML und TNEF aus. (TNEF ist erforderlich, da es den Wrapper der Dateianlage für interne Nachrichten darstellt.)

    6. Legen Sie für Aktion die Option Überspringen: nur erkennen.

    7. Deaktivieren Sie Quarantänedateien.

    8. Speichern Sie den Filter.

Erstellen Sie anschließend einen Filter, durch den alle Dateien geblockt werden. Wir nennen diesen Filter „Dateifilter 2“. Wenn Sie zuvor den Dateifilter 1 erstellt haben, werden Office-Dateien zugelassen, während alle anderen Dateien blockiert werden.

So erstellen Sie Dateifilter 2
  1. Klicken Sie im Navigationsbereich auf FILTERN. Klicken Sie dann auf das Symbol Datei. Der Arbeitsbereich Dateifilterung wird angezeigt.

  2. Erstellen Sie mit den folgenden Schritten einen neuen Dateifilter:

    1. Klicken Sie auf Hinzufügen.

    2. Geben Sie * als Dateinamen ein, und drücken Sie dann die EINGABETASTE.

    3. Stellen Sie sicher, dass Alle Typen im Bereich Dateitypen aktiviert ist.

    4. Legen Sie die Aktion auf Blocken oder Entfernen fest.

    5. Aktivieren Sie Quarantänedateien.

    6. Aktivieren Sie Benachrichtigungen senden.

    7. Speichern Sie den Filter.

HinweisHinweis:
Es ist wichtig zu erkennen, dass die Aktion Überspringen: nur erkennen für fast jeden erhaltenen Anhang im ersten Filter einen Eintrag im Vorfallprotokoll generiert. TNEF wird auch für alle internen Exchange-E-Mails verwendet. Wenn Sie daher diese Filter auf einem Hubserver (nur Exchange Server 2007) erstellen, generieren Sie ein Ereignis für jede E-Mail. Dadurch kann der Server schnell mit Ereignissen überflutet werden und das Vorfallprotokoll auf eine schwer handhabbare Größe anwachsen. Sie können dieses Problem verhindern, indem Sie sicherstellen, dass der Dateiname der ersten Regel "<in>*" lautet. So wird die Regel nur für eingehende E-Mails aufgerufen. Dennoch werden noch immer sehr viele Ereignisse generiert. Wenn Sie im zweiten Filter Quarantänedateien aktivieren, wird wahrscheinlich auch eine große Anzahl von Dateien unter Quarantäne gestellt.

Sie können nicht nur einzelne Dateifilter, sondern auch ganze Dateifilterlisten mit Zusammenstellungen von Filtern erstellen, die Sie bei den verschiedenen Scanaufträgen verwenden oder anhand derer Sie Ihre Filter einfach verwalten können. Die einzelnen Filter werden wie beschrieben erstellt. Nun handelt es sich jedoch bei jedem Filter um einen Teil einer Liste.

Erstellen Sie zuerst eine neue Dateifilterliste.

So erstellen Sie eine Filterliste
  1. Klicken Sie im Abschnitt FILTERN des Navigationsbereichs auf das Symbol Filterlisten.

  2. Wählen Sie im Bereich Listentypen die Option Dateien.

  3. Klicken Sie im Abschnitt Listennamen auf die Schaltfläche Hinzufügen.

  4. Geben Sie einen Namen für die neue Liste ein, und drücken Sie dann die EINGABETASTE. Die leere Liste wird im Bereich Listennamen angezeigt.

  5. Wenn der neue Listenname ausgewählt ist, klicken Sie auf die Schaltfläche Bearbeiten. Das Dialogfeld Filterliste bearbeiten wird angezeigt. Fügen Sie der Liste Dateinamen hinzu.

  6. Klicken Sie im Abschnitt In Filter einschließen auf die Schaltfläche Hinzufügen.

  7. Geben Sie einen Dateinamen ein, der in die Filterliste aufgenommen werden soll. Schließen Sie die Eingabe durch Drücken der EINGABETASTE ab. Sie können beliebig viele Elemente verwenden, die jedoch jeweils separat eingegeben werden müssen. Jeder Dateiname folgt den Regeln zur Erstellung einzelner Dateifilter, die zuvor erläutert wurden.

    Im Bereich Aus Filter ausschließen können Sie die Dateinamen eingeben, die niemals in der Dateifilterliste enthalten sein sollen. Dadurch wird verhindert, dass diese Dateinamen beim Importieren einer Liste aus einer Textdatei versehentlich hinzugefügt werden. Weitere Informationen zum Importieren von Dateien finden Sie unter Importieren von Elementen in eine Filterliste.

  8. Klicken Sie auf OK, wenn Sie alle gewünschten Elemente hinzugefügt haben. Die von Ihnen eingegebene Liste mit Elementen wird alphabetisch geordnet im Bereich neben Listennamen angezeigt.

  9. Klicken Sie auf Speichern, um die Liste zu speichern.

  10. Konfigurieren Sie die Filterliste auf die gleiche Weise wie unter Erstellen eines Dateifilters beschrieben.

Daten für Filterlisten können offline in Editor oder einem ähnlichen Text-Editor erstellt und dann mithilfe von Forefront Server Security Administrator in die entsprechende Filterliste importiert werden. Beachten Sie, dass mit Forefront Security für Exchange Server nur Listen importiert werden können, bei denen es sich um UTF-16- oder ANSI-Dateien handelt. Andere Unicode-Typen werden nicht ordnungsgemäß importiert.

So erstellen Sie Einträge und importieren sie in eine Filterliste
  1. Erstellen Sie eine Liste, und speichern Sie sie als Textdatei. Platzieren Sie jeden Filter in einer eigenen Zeile in der Datei.

  2. Klicken Sie im Abschnitt FILTERN des Navigationsbereichs auf Filterlisten.

  3. Wählen Sie die Filterliste aus, in die Sie die Daten importieren möchten.

  4. Klicken Sie auf Bearbeiten. Das Dialogfeld Filterliste bearbeiten wird angezeigt.

  5. Klicken Sie auf die Schaltfläche Importieren. Ein Datei-Explorer-Fenster wird geöffnet. Navigieren Sie zu der unter Schritt 1 erstellten Textdatei.

  6. Wählen Sie die gewünschte Datei aus, und klicken Sie auf Öffnen.

  7. Die Datei wird in den mittleren Bereich des Editors zum Importieren von Listen importiert, wo Sie die Einträge auswählen können, die Sie in Ihre Filterliste einschließen möchten. Mit der Schaltfläche <=== können Sie alle Elemente in den Bereich In Filter einschließen verschieben, mit der Schaltfläche <--- verschieben Sie einzelne Elemente. Mit den Pfeilen nach rechts können Sie Elemente in den Bereich Vom Import ausschließen verschieben.

  8. Klicken Sie auf OK, wenn Sie alle gewünschten Elemente verschoben haben.

  9. Klicken Sie auf Speichern, um Ihre Arbeit zu speichern.

Filtersatzvorlagen können für die Verwendung mit einem beliebigen Forefront Security für Exchange Server-Scanauftrag erstellt werden. Eine Filtersatzvorlage kann einer beliebigen Anzahl von Scanaufträgen oder allen Scanaufträgen zugeordnet werden. Außerdem können Sie mehrere Filtersatzvorlagen zur Verwendung auf verschiedenen Servern oder in verschiedenen Scanaufträgen erstellen. Informationen zum Erstellen und Konfigurieren von Filtersatzvorlagen finden Sie unter "Filtersatzvorlagen" in Inhaltsfilterung.

Die Unterstützung für die Dateisuche nach Namen in Forefront Security für Exchange Server geht über den englischen Zeichensatz hinaus. So werden beispielsweise Nachrichten mit einer Anlage, die japanische Zeichen, Wörter oder Ausdrücke enthält, auf dieselbe Weise wie der englische Zeichensatz behandelt.

Der Arbeitsbereich Vorfälle enthält statistische Indikatoren, in denen die Anzahl der Anlagen protokolliert wird, die die angegebenen Kriterien erfüllen und somit das Entfernen der zugehörigen Nachricht verursachen. Diese Zähler finden Sie auch im Windows-Snap-In Systemmonitor.

 
Anzeigen: